DSGVO Anfrage zu Daten bei INPOL

Hallo zusammen,

Neulich habe ich beim BKA eine DSGVO-Anfrage zu meinen Daten bei INPOL gestellt. Das BKA antwortete mir:

… Anlässlich ihres Auskunftsersuchens wurde unter oben genannter Vorgangsnummer ein Vorgang im internen Vorgangsbearbeitungssystem des BKA (VBS) mit einer Speicherdauer von 36 Monaten angelegt. Die Speicherung dient ausschließlich der Vorgangsverwaltung, ist nicht zur polizeilichen Nutzung bestimmt (vergleiche § 22 Abs. 2 BKAG) und ist auch nur für die Petentensachbearbeitung sichtbar.

Meine Frage: Wieso speichert das BKA die Daten so lange ?
.
.
.
Hier könnt Ihr selbst Anfragen zu euren Daten beim BKA bzw. in polizeilichen Datenbanken stellen:

  1. Auskunfts­erteilung zu Spei­che­run­gen in polizei­lichen Da­tei­en (INPOL)
    https://www.bka.de/DE/KontaktAufnehmen/AnfragenAuskunftserteilung/AuskunftserteilungSpeicherungenInPolizeilichenDateien/auskunftserteilungspeicherungeninpolizeilichendateien_node.html

  2. Auskunfts­erteilung zu Spei­che­run­gen im Schen­ge­ner In­for­ma­ti­ons­sy­tem (SIS)
    https://www.bka.de/DE/KontaktAufnehmen/AnfragenAuskunftserteilung/AuskunftserteilungSIS/auskunftserteilungSIS_node.html

Also wenn das BKA für die Antwort eben bis zu 36 Monaten benötigt, dann macht die Speicherdauer natürlich Sinn. Da ich denke, dass das BKA früher antworten kann und sollte, ist die Zeit m.E. zu lange.

1 „Gefällt mir“

Das BKA hat für meine Anfrage 2 Wochen gebraucht. — Eine Speicherdauer von 36 Monaten halte ich daher für sehr lange.

Frag doch beim BKA direkt nach. Es gibt da jetzt eh einen Vorgang zu dir. Weise doch mal auf den Grundsatz der Datenminimierung und Speicherbegrenzung hin.

Viel Spass! :sweat_smile:

1 „Gefällt mir“

Die drei Jahre ergeben sich aus der Haftung nach BGB. Dadurch kann es passieren das Daten die kurz vor der Löschung beauskunftet werden, dann doch noch 3 Jahre gespeichert werden.

1 „Gefällt mir“

Aber INPOL ist doch kein BGB… Normalerweise auch nicht DSGVO, sondern der obere Teil des BDSG, wo unsereins selten hinkommt.

D., der im Privatrecht ebenfalls argumentieren kann, Daten nicht löschen zu müssen, weil sie bis zum Ende der regelmäßigen Verjährungsfrist noch zum Nachweis erbrachter Leistungen erforderlich wären (Art. 17 Abs. 3 lit. e DSGVO i. V. m. § 195 BGB). Bzw. auf Basis derselben Rechtsgrundlage, um zur Abwendung einer Ordnungswidrigkeiten-Sanktion Vorschrifts-Konformität nachzuweisen (dann i. V. m. § 31 OWiG). Außerdem Dokumentationspflichten für Handelsbriefe und Buchungsbelege beachten (Art. 17 Abs. 3 lit. b DSGVO i. V. m. § 257 HGB u. § 147 AO).

1 „Gefällt mir“

Gut für’s BKA, dass für deren Datenverarbeitung weder OWiG noch HGB und AO relevant sind. Ich kann mir aber vorstellen, dass tatsächlich das BGB, nämlich die Amtshaftung nach § 839 BGB, für die Speicherfrist in Betracht gezogen worden ist. Gerichtlich ist anerkannt, dass eine Amtshaftung für falsche Auskünfte besteht. Das dürfte dann (ich habe es nicht nachgeprüft) wohl auch hinsichtlich Art. 15 DSGVO gelten.

1 „Gefällt mir“

Die Frist berechnet sich durch den Verweis in § 41 BDSG für Verstöße nach Art. 83 Absatz 4 bis 6 DSGVO nach § 31 OWiG und beträgt damit 3 Jahre. Die Frist beginnt, sobald die Handlung beendet ist, also mit Auskunftserteilung. Nach Ablauf der 3 Jahre müssen auch diese Daten wieder gelöscht werden und über die Dauer der Speicherung muss widerum schon im Rahmen der Negativauskunft informiert werden!
Quelle: https://www.dr-datenschutz.de/negativauskunft-informationspflicht-bei-bearbeitung-des-auskunftsersuchens/

1 „Gefällt mir“

Das sind die Bußgelder von 10 Mill./2% und 20 Mill./4% und nicht auf das BKA anwendbar (siehe §43 Abs.3 BDSG).

Im BKAG ist keine solche Speicher- oder Aussonderungsfrist festgelegt. Ich vermute sie in irgendeiner Verordnung zur Aktenführung. Der Vorschlag von @anabanana, beim BKA nachzufragen, scheint mir sinnvoll.

1 „Gefällt mir“

Es geht um die 3 Jahre und nicht um das Bußgeld. Die 3 Jahre kommt aus §31OWiG

§ 31

Verfolgungsverjährung

(1) 1Durch die Verjährung werden die Verfolgung von Ordnungswidrigkeiten und die Anordnung von Nebenfolgen ausgeschlossen. 2§ 27 Abs. 2 Satz 1 Nr. 1 bleibt unberührt.

(2) Die Verfolgung von Ordnungswidrigkeiten verjährt, wenn das Gesetz nichts anderes bestimmt,

  1. in drei Jahren bei Ordnungswidrigkeiten, die mit Geldbuße im Höchstmaß von mehr als fünfzehntausend Euro bedroht sind,
  2. in zwei Jahren bei Ordnungswidrigkeiten, die mit Geldbuße im Höchstmaß von mehr als zweitausendfünfhundert bis zu fünfzehntausend Euro bedroht sind,
  3. in einem Jahr bei Ordnungswidrigkeiten, die mit Geldbuße im Höchstmaß von mehr als eintausend bis zu zweitausendfünfhundert Euro bedroht sind,
  4. in sechs Monaten bei den übrigen Ordnungswidrigkeiten.
1 „Gefällt mir“

Ja, und § 31 OWiG ist auf Behörden wie das BKA nicht anwendbar wie @anzolino richtig beschrieben hat. Im Privatsektor kann ich daraus ein berechtigtes Interesse an der Aufbewahrung ableiten, weil ich jedenfalls für den Zeitraum, in dem die Geldbuße nicht verjährt ist, nachweisen muss (Art. 5 Abs. 2 DSGVO), dass ich den Auskunftsanspruch richtig gewährt habe.

Diese Konstruktion eines berechtigten Interesses ist aber auf Behörden nicht anwendbar, weil der Zweck (Abwehr von Geldbußen, hier nach Art. 83 Abs. 5 Buchst. b) DSGVO) nie (also wirklich: nie) erfüllbar ist.

1 „Gefällt mir“

Jup. Die Aufbewahrungs-/Löschfristen der Vorgangsverwaltung sind keine private Angelegenheit eines Polizisten, gegen den ein Bußgeld gem. OWiG verhängt werden könnte. Polizeiliches Handeln ist in den Polizeigesetzen geregelt und dementsprechend müssen Aussonderungsprüf-, Aufbewahrungs- und Löschfristen auch in diesen Gesetzen und Verordnungen (BKAG, BKADV, StPO, BDSG usw.), in Errichtungsanordnungen oder in sonstigen Normen zur Aktenverarbeitung festgelegt sein.

Der BfDI verweist im 29.Tätigkeitsbericht auf die Beanstandungen des 28.TB und erneuert die Kritik an den Aussonderungsprüffristen. Aber es ist immer noch kompliziert mit dem “verfassungsrechtlichen Grundverständnis” des BMI:

Insofern vertritt das BMI z. B. im Hinblick auf die Verarbeitung von personenbezogenen Daten zur Vorgangsverwaltung und zur Dokumentation polizeilichen Handelns die Rechtsansicht, § 22 Abs. 2 BKAG erlaube eine Speicherung insbesondere in den Fällen, in denen die Erforderlichkeit einer Weiterverarbeitung zur Aufgabenerfüllung noch nicht beurteilt werden kann und es nicht ausgeschlossen ist, dass das betreffende Datum zu einem späteren Zeitpunkt einen polizeilichen Nutzen haben könnte. „Das Datum kann“ – so das BMI – „aufbewahrt und ggf. mit weiteren Erkenntnissen angereichert werden, bis eine Entscheidung über die Erforderlichkeit der Speicherung zur Aufgabenerfüllung herbeigeführt werden kann oder das Datum ausgesondert wird oder aufgrund des Ablaufs von Höchstspeicherfristen zu löschen ist“.

Gemeinhin wird das als Vorratsdatenspeicherung bezeichnet. Man weiß zwar nicht wofür, aber man könnte die Daten evtl. noch mal gebrauchen, auf jeden Fall aber mit anderen Daten anreichern. Vielleicht in einer InpolAuskunftsrechtsGefährderDatei… 36 Monate = Jemand hat eine 3 gewürfelt und sie mit 12 multipliziert :roll_eyes:

1 „Gefällt mir“

@anzolino Du hast es in Gänze erfasst. Die Tatsache, dass eine Anfrage (auf die ich ein Auskunftsrecht habe) dazu führt, dass ich nun in einer ,Gefährder-Datei Light’’ bin, beunruhigt mich.

Der BfDI fasst es in seinem 29. TB gut zusammen:

Eine solche Sichtweise findet im Gesetz keine Grundlage und widerspricht dem verfassungsrechtlichen Grundverständnis, wonach Daten von vornherein nur zu bestimmten, präzise und normenklar festgelegten Zwecken gespeichert werden dürfen. Bereits bei der Speicherung muss hinreichend gewährleistet sein, dass die Daten nur für solche Zwecke verwendet werden, die das Gewicht der Datenspeicherung rechtfertigen. Das ist ständige Rechtsprechung des Bundesverfassungsgerichts. Eine Datenspeicherung auf Halde für den Fall, dass sie irgendwann einmal für die polizeiliche Aufgabenerfüllung „nützlich“ sein könnten, ist nicht zulässig.